Prasyarat Langkah 1: Buat pengguna Active Directory domain Langkah 2: Unduh Entra Connect Sync Langkah 3: Jalankan Windows PowerShell Script Langkah 4: Instal Entra Connect Sync

Hubungkan Microsoft AD yang AWS Dikelola ke Microsoft Entra Connect Sync

Tutorial ini memandu Anda melalui langkah-langkah yang diperlukan untuk menginstal Microsoft Entra Connect Syncuntuk menyinkronkan Anda Microsoft Entra IDke Microsoft AD yang AWS Dikelola.

Dalam tutorial ini, Anda akan melakukan hal-hal berikut:

Buat pengguna domain Microsoft AD yang AWS Dikelola.
Unduh Entra Connect Sync.
Gunakan Windows PowerShell untuk menjalankan skrip untuk memberikan izin yang sesuai untuk pengguna yang baru dibuat.
Instal Entra Connect Sync.

Prasyarat

Anda akan memerlukan yang berikut untuk menyelesaikan tutorial ini:

Iklan Microsoft yang AWS Dikelola. Untuk informasi selengkapnya, lihat Buat Anda AWS Microsoft AD yang Dikelola .
Instans Windows Server Amazon EC2 bergabung dengan iklan AWS Microsoft Terkelola Anda. Untuk informasi selengkapnya, lihat Bergabunglah dengan instans Windows dengan mulus.
WindowsServer EC2 yang Active Directory Administration Tools diinstal untuk mengelola iklan Microsoft AWS Terkelola Anda. Untuk informasi selengkapnya, lihat Instal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola.

Langkah 1: Buat pengguna Active Directory domain

Tutorial ini mengasumsikan Anda sudah memiliki AWS Managed Microsoft AD serta instans Windows Server EC2 dengan Active Directory Administration Tools diinstal. Untuk informasi selengkapnya, lihat Instal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola.

Connect ke instance di Active Directory Administration Tools mana diinstal.
Buat pengguna domain Microsoft AD yang AWS Dikelola. Pengguna ini akan menjadi Active Directory Directory Service (AD DS) Connector account untukEntra Connect Sync. Untuk langkah-langkah rinci tentang proses ini, lihatBuat pengguna dengan EC2 instans Amazon.

Langkah 2: Unduh Entra Connect Sync

Unduh Entra Connect Sync dari Microsoftsitus web ke instans EC2 yang merupakan admin Microsoft AD yang AWS Dikelola.

Awas

Jangan buka atau jalankan Entra Connect Sync pada saat ini. Langkah selanjutnya akan memberikan izin yang diperlukan untuk pengguna domain Anda yang dibuat di Langkah 1.

Langkah 3: Jalankan Windows PowerShell Script

Buka PowerShell sebagai Administrator dan jalankan skrip berikut. Saat skrip sedang berjalan, Anda akan diminta untuk memasukkan SAM AccountName untuk pengguna domain yang baru dibuat dari Langkah 1.


$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}

Tampilkan lebih banyak

Tampilkan lebih sedikit

Langkah 4: Instal Entra Connect Sync

Setelah skrip selesai, Anda dapat menjalankan file konfigurasi yang diunduh Microsoft Entra Connect (sebelumnya dikenal sebagaiAzure Active Directory Connect).
Sebuah Microsoft Azure Active Directory Connect jendela terbuka setelah menjalankan file konfigurasi dari langkah sebelumnya. Pada jendela Pengaturan Ekspres, pilih Sesuaikan.
Pada jendela Instal komponen yang diperlukan, pilih kotak centang Gunakan akun layanan yang ada. Di NAMA AKUN LAYANAN dan KATA SANDI AKUN LAYANAN, masukkan AD DS Connector account nama dan kata sandi untuk pengguna yang Anda buat di Langkah 1. Misalnya, jika AD DS Connector account nama Andaentra, nama akun akan menjadicorp\entra. Kemudian pilih Instal.
Pada jendela User Sign-in, pilih salah satu opsi berikut:
1. Otentikasi Pass-through - Opsi ini memungkinkan Anda untuk masuk Active Directory dengan nama pengguna dan kata sandi Anda.
2. Jangan mengkonfigurasi - Ini memungkinkan Anda untuk menggunakan masuk federasi dengan Microsoft Entra (sebelumnya dikenal sebagai Azure Active Directory (AzureAD)) atau. Office 365
  
  Kemudian pilih Berikutnya.
Pada Azure jendela Connect to, masukkan nama pengguna dan kata sandi Administrator Global Anda Entra ID dan pilih Berikutnya.
Pada jendela Connect your directories, pilih Active Directoryuntuk DIRECTORY TYPE. Pilih hutan untuk Microsoft AD for FOREST yang AWS Dikelola. Kemudian pilih Tambahkan Direktori.
Kotak pop-up muncul meminta opsi akun Anda. Pilih Gunakan akun AD yang ada. Masukkan nama AD DS Connector account pengguna dan kata sandi yang dibuat pada Langkah 1 dan kemudian pilih OK. Kemudian pilih Berikutnya.
Pada jendela Azure ADMasuk, pilih Lanjutkan tanpa mencocokkan semua sufiks UPN dengan domain terverifikasi, hanya jika Anda tidak memiliki domain vanity terverifikasi yang ditambahkan. Entra ID Kemudian pilih Berikutnya.
Pada jendela pemfilteran domain/OU, pilih opsi yang sesuai dengan kebutuhan Anda. Untuk informasi selengkapnya, lihat Entra Connect Sync: Mengkonfigurasi pemfilteran dalam Microsoft dokumentasi. Kemudian pilih Berikutnya.
Pada jendela Mengidentifikasi Pengguna, Pemfilteran, dan Fitur Opsional, pertahankan nilai default dan pilih Berikutnya.
Pada jendela Konfigurasi, tinjau pengaturan konfigurasi dan pilih Konfigurasi. Instalasi untuk Entra Connect Sync akan selesai dan pengguna akan mulai melakukan sinkronisasi dengan. Microsoft Entra ID

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Langkah 2: Membuat hubungan kepercayaan dengan yang lainAWSDomain Microsoft AD yang Dikelola

Perpanjang skema Anda